Bei Windows 2008-Freigabe tritt beim Zugriff von Linux-Clients nach 10 Minuten nach WannaCry-Patches und -Updates eine Zeitüberschreitung auf

7

Ein bisschen Hintergrund

  • Wir haben einen Windows 2008-Server, auf dem Benutzer alle Arten von Daten speichern.

  • Es hat eine smb-Freigabe für einen bestimmten Ordner, auf den mehrere Ubunutu-Server über cifs zugreifen müssen.

  • Bis vor kurzem hat alles super funktioniert. Wir mussten den Windows-Server gegen WannaCry-Angriffe patchen.
  • Auch aktualisierte Ubuntu-Server (mit Ubuntu 16.04.02 LTS)
  • Bis auf Updates hat sich nichts geändert - die gesamte Konfiguration ist gleich und hat mehrere Jahre lang hervorragend funktioniert.
  • Keine Änderungen im Netzwerk

Problem:

Jetzt läuft die Samba-Freigabe auf dem Windows 2008-Server nach einigen Minuten (ca. 10) ab, wenn Clients nicht darauf zugreifen. (Normalerweise geschieht dies alle paar Stunden, wenn entweder ein Import oder ein Export von der Freigabe abgerufen oder dort gespeichert werden muss.) Um es klar auszudrücken: Die Freigabe wird auf Ubuntu-Clients bereitgestellt und funktioniert wie erwartet. Nach einigen Minuten tritt eine Zeitüberschreitung auf, wenn kein Prozess diese Verbindung verwendet.

Temporäre Lösung: Wir richten Cron-Aufgaben ein, die alle 5 Minuten eine Datei auf der Windows-Freigabe berühren, um die Verbindung aufrechtzuerhalten. - DAS HILFT NICHT

Am Ende wurde eine Cron-Aufgabe mit einem Sudo-Benutzer eingerichtet, der mount -aalle 5 Minuten ausgeführt wird.

Ich möchte einen Grund dafür herausfinden und eine langfristige Lösung finden.

BEARBEITEN:

Per Kommentare:

Mein Mount-Befehl in / etc / fstab (vertrauliche Informationen durch Großbuchstaben ersetzt)

//SERVER.HOST.NAME/apidata /var/www/pai3/shared/data/production/k_drive/data cifs username=USER,password=PASS,iocharset=utf8,sec=ntlm,workgroup=DOMAIN.COM,rw,uid=1000   0  0
konung
quelle
Einige Fragen: 1) Wie mounten Sie die Freigabe? Können Sie die vollständige Befehlszeile bereitstellen? 2) Was sehen Sie in dmesg, wenn die Freigabe der Freigabe getrennt wird? 3) Gibt es einen Einblick in die Windows-Ereignisanzeige?
Shodanshok
@ Shodanshok Danke für die Antwort. 1) Es ist ein Standard-fstab-Eintrag / Mount-Befehl. 2) Wo wird dmesg dafür gespeichert? 3) Nichts im geraden Betrachter.
Konung
@shodanshok Hier ist der Befehl fstab (vertrauliche Informationen entfernt). wird Frage aktualisieren, um weiter zu formatieren
konung
In dmesg sollten Sie nach Einträgen mit den Wörtern 'smb' oder 'cifs' suchen. Zum Beispiel können dmesg | grep "smb\|cifs"Sie auch in / var / log / messages oder /var/log/kernel.log
shodanshok
@shodanshok[ 14.122342] FS-Cache: Netfs 'cifs' registered for caching [ 14.122486] Key type cifs.spnego registered [ 14.122500] Key type cifs.idmap registered
Konung

Antworten:

3

Von CIFS und SMB Timeout in Windows

Leerlaufverbindungstimer

Dies ist die Zeit, die eine Verbindung inaktiv sein kann, bevor die Verbindung getrennt wird. Eine inaktive Verbindung ist definiert als eine Verbindung, für die keine offenen Handles (keine offenen Dateien, Verzeichnisse, Suchkontexte usw.) und keine ausstehenden Vorgänge vorhanden sind. Der Idle Connection Timer ist implementierungsspezifisch. Wenn der Server eine Nachricht empfängt, wird Server.Connection.IdleTime auf die aktuelle Zeit plus Server.AutoDisconnectTimeout [MS-CIFS] gesetzt.

Auf Windows-Servern kann es über den Registrierungsschlüssel Autodisconnect [KB297684] konfiguriert werden. \ HKLM \ SYSTEM \ CurrentControlSet \ Services \ LanmanServer \ Parameters \ Werttyp: Dword Wertname: Autodisconnect Standard: 15 (Minuten)

Die automatische Verbindung kann auch über Gruppenrichtlinien konfiguriert werden: Computerkonfiguration \ Windows-Einstellungen \ Sicherheitseinstellungen \ Lokale Richtlinien \ Sicherheitsoptionen "Microsoft-Netzwerkserver: Vor dem Anhalten der Sitzung erforderliche Leerlaufzeit"

Möglicherweise hat das Update einen dieser Parameter geändert oder zurückgesetzt.

Ich empfehle Ihnen, zuerst die Gruppenrichtlinie zu verwenden und, falls dies fehlschlägt, die Registrierung direkt zu bearbeiten.

Shodanshok
quelle
Vielen Dank. Ich werde es nachts versuchen, wenn wir eine Verlangsamung haben.
Konung
Register direkt bearbeiten ... meinst du Registrierung ?
Ich sage Reinstate Monica
Ja, die Registrierung :)
Shodanshok
@shodanshok In meinem Fall wurde diese Richtlinie nicht definiert, was bedeutet, dass sie standardmäßig 15 Minuten beträgt. Ich habe es auf 1440 (24 Stunden) geändert und werde sehen, was morgen passiert. Vielen Dank
konung
> In meinem Fall wurde diese Richtlinie nicht definiert, was bedeutet, dass sie standardmäßig 15 Minuten beträgt. Ich habe es auf 1440 (24 Stunden) geändert und werde sehen, was morgen passiert. > Eigentlich könnte das funktionieren.
Net Runner